来源: 时间:2022-04-09 15:35:09
在Cloudflare错误之后,今天敦促互联网用户更改所有密码,该错误可能会泄露网站访问的密码,消息和更多信息。数以百万计的网站用于增强安全性和性能的Cloudflare服务表示,在一周前受到Google研究员Tavis Ormandy的警告后,它已迅速修复了该漏洞。
观看我们所有来自Express Technology的视频
Cloudflare首席技术官约翰·格雷厄姆·卡明 (John Graham-Cumming) 在一篇博客文章中说: “事实证明,在一些不寻常的情况下,我们的边缘服务器正在运行超过缓冲区的末端,并返回包含私人信息的内存,如HTTp cookie、身份验证令牌、HTTp pOST主体和其他敏感数据。”
“其中一些数据已被搜索引擎缓存。”
本质上,打算暂时存储的敏感数据溢出了 “缓冲” 内存空间,然后被塞进更暴露的地方,如网页,然后可以被在线搜索引擎捕获,根据该错误的描述。
Ormandy在一篇关于该漏洞的在线帖子中说: “我们获取了一些实时样本,并观察到加密密钥,cookie,密码,帖子数据块,甚至是其他用户对其他主要Cloudflare托管网站的HTTpS请求。”
“这种情况很不寻常,(个人身份信息) 在正常使用过程中被爬虫和用户主动下载,他们只是不明白他们看到了什么。”
Ormandy在 @ taviso发出的Twitter消息中说,Cloudflare已经泄漏了几个月的信息,这危及了Uber,OKCupid,Fitbit和1password等主要网站的安全数据。
由于Twitter上发出的错误,人们呼吁更改所有在线密码,其中 “# CloudBleed” 标签是一个热门话题。
相关推荐
猜你喜欢